Descubre más sobre las amenazas nuevas y emergentes...
Y, para complicar ulteriormente la situación, es necesario pensar en cómo garantizar la seguridad en todos los sitios, de modo que esta compleja infraestructura esté protegida.
En 2016, el 27% de las aplicaciones en la nube de terceros conectadas, introducidas por los empleados en las empresas en 2016, representaron un elevado riesgo de seguridad.
El fenómeno, sin duda alguna, se deriva del hecho de que los empleados quieren mejorar sus propios niveles de productividad personal y estar conectados mientras están en el trabajo, pero no piensan necesariamente en cómo repercute el acceso a estas aplicaciones sobre la seguridad de los datos.
Esta práctica, conocida como "TI en la sombra", puede presentarse de innumerables maneras, desde la instalación de un servicio de mensajería instantánea en un dispositivo de la empresa, a la descarga de un software para compartir archivos personales y a su uso para transferir datos importantes. Este tipo de operaciones atrae a los hacker.
El 14 de mayo 2017, se difundió en el Reino Unido la noticia de un "ataque informático importante" que, inicialmente, parecía ser un ataque dirigido al servicio sanitario nacional. Parecía que este servicio había sido atacado por una campaña de ransomware cuya finalidad era aprovecharse de todas las vulnerabilidades de la tecnología para bloquear todo el sistema; el objetivo de los hacker era obtener un rescate económico.
Sin embargo, cuando el fenómeno comenzó a presentarse también en otros países, pronto se hizo evidente que se trataba de una amenaza global que se estaba propagando rápidamente. Ningún sector era inmune y ciertamente no era el caso "habitual" de ransomware...
Talos, nuestro equipo de inteligencia de amenazas, investigó a fondo lo sucedido y esto es lo que descubrió:
WannaCry se instala aprovechándose de una vulnerabilidad del protocolo SMB de Microsoft, no con mensajes de correo electrónico de suplantación de identidad (phishing) ni publicidad malintencionada (malvertising), que son los medios a través de los que se distribuye normalmente el ransomware.
La tecnología SMB se basa en la red utilizada para compartir archivos entre los PC. Uno de los motivos por los que este ransomware se extendió tan rápido fue porque puede propagarse de forma transversal dentro de una misma red, instalándose automáticamente en los demás sistemas conectados sin que los usuarios finales hagan nada.
El malware fue especialmente eficaz en entornos con PC con Windows XP, porque pudo utilizar la puerta TCP 445 (Server Message Block/SMB), comprometer a los host, cifrar los archivos grabados en ellos y, después, solicitar el pago de un rescate con bitcoins.
El 14 de marzo, Microsoft lanzó una actualización de seguridad para corregir esta vulnerabilidad. Aunque con dicha actualización quedaron protegidos los PC con Windows más recientes que contaban con Windows Update, en general muchos PC se quedaron desprotegidos.
Esta situación afectó sobre todo a los PC con Windows XP para los que Microsoft ya no ofrece soporte técnico, así como a los millones de PC en todo el mundo que usan software pirata y que, lógicamente, no se actualizan automáticamente.
Una parte muy importante de nuestros resultados ha confirmado que el malware se diseñó como un servicio modular. Según lo que hemos constatado, los archivos ejecutables asociados al ransomware los escribió una persona distinta de la que desarrolló el módulo de servicio. Potencialmente, esto significa que la estructura de este malware se puede utilizar para distribuir y ejecutar diferentes cargas del malware (payload).
Talos insta a las empresas a adoptar las siguientes prácticas recomendadas de forma estándar en el sector para prevenir ataques y campañas como esta y otras similares:
Si bien todavía la motivación principal de los criminales informáticos es la de obtener un beneficio económico, el objetivo actual de algunos de ellos es subir el listón, no limitarse al ataque y destruir para que las empresas no puedan restaurar sus sistemas y datos con las copias de seguridad realizadas.
Como se señala en el Informe semestral de ciberseguridad 2017 de Cisco, nuestros investigadores indican que el alcance de esta nueva era de ataques "destructivos" les convierte en una actividad muy siniestra y pronostican que habrá un nuevo tipo de ataque muy devastador en un futuro próximo: la destrucción del servicio (Destruction of Service, DeOS).
¿Por qué? Un motivo importante es que los criminales informáticos han visto la gran oportunidad que supone poder entrar en los dispositivos IoT (no necesariamente desarrollados pensando en la seguridad como prioridad) y crear ataques de gran escala empleando botnet IoT.
En el informe se justifica que la mayoría de las empresas no son plenamente conscientes de los dispositivos IoT que se pueden conectar a sus redes, como, por ejemplo, contadores, videocámaras o termostatos inteligentes. Muchos de estos dispositivos son muy deficientes en cuanto a funcionalidad de seguridad y, por lo general, ejecutan aplicaciones obsoletas o raramente se actualizan.
Además, no siempre está claro quién, dentro de la empresa, es el responsable de ocuparse de las vulneraciones de IoT. Normalmente, una vez finalizado un proyecto IoT, los grupos de trabajo pasan al sucesivo.
Por ello, hoy más que nunca, es importante que las empresas asignen una prioridad absoluta a la ciberseguridad.
En este contexto, la palabra clave es "visibilidad": se trata de aprender a ver lo que actualmente no es visible y esto significa destinar tiempo y recursos a determinar en todo momento con exactitud lo que hay en el entorno de TI, así como a asegurarse de que todo esté implementado de forma correcta y segura, y siempre actualizado.
No es una tarea fácil para las empresas, sobre todo si consideramos el grado de fragmentación al que debe enfrentarse el sector de la seguridad.
Por este motivo, sirve un enfoque donde lo primero sea el cliente. Las empresas deben ser capaces de implementar soluciones de seguridad más adecuadas para ellas, así como aprovechar mejor las inversiones realizadas.
Disponer de soluciones que puedan comunicarse entre sí y trabajar juntos para proteger a los usuarios y a las propias empresas es la única forma posible de vencer el reto frente a los criminales informáticos, que han decidido entrometerse en el mundo IoT.
Como ha afirmado uno de nuestros expertos de inteligencia de amenazas, Martin Lee, tenemos ante nosotros un pequeña ventana de oportunidad para reaccionar en este contexto: